Docker:安全集群HA Docker注册表
克服在开发和生产中使用Docker的挑战
执行概要
Docker已经成为容器化的事实上的标准,然而,该技术并不能充分满足软件开发组织的一些需求。例如,如何在整个组织中分发和共享图像,如果解决了这个问题,那么如何控制对这些图像的访问?或者,您如何克服阻碍开发人员和自动化构建过程进展的网络连接和延迟问题?
所有这些问题的答案都是JFrog Artifactoryrepository manager.人工智能是一个安全、健壮的Docker注册表;一个单一的访问点来管理和组织你的Docker镜像。由于完全支持Docker注册API, Artifactory可以透明地与Docker客户端一起工作。
下表显示了JFrog Artifactory如何消除与管理Docker映像相关的开销。
| 可靠,一致和有效地访问远程Docker注册表 | |
| 远程公共注册中心,如码头工人中心对发展至关重要,必须随时可用。如果由于中断或网络问题而无法访问,开发和构建就会陷入停顿 | Artifactory通过将远程Docker映像缓存在Docker Hub和其他外部资源中,减轻了您对Docker Hub和其他外部资源的依赖2022世界杯阿根廷预选赛赛程远程存储库;用作远程资源代理的本地缓存。这克服了由于网络问题或资源下降而导致的任何可访问性问题。 |
| 减少网络流量和优化构建 | |
| 许多开发人员和构建机器/CI服务器不断下载组件会产生大量网络流量并减慢构建速度。 | 一旦Artifactory下载了映像,所有开发人员和构建工具/CI服务器都可以在本地使用它,从而减少了网络流量并加快了构建过程。 |
| 与您的构建生态系统完全集成 | |
| 无论构建生态系统是如何构建的,您的构建系统(每天运行几个构建)必须能够轻松访问映像。 | CI系统通过Artifactory解析依赖关系,并将构建部署到Artifactory中相应的Docker注册表中。由于Artifactory存储了详尽的构建信息,因此通过Artifactory运行构建可以完全跟踪构建,并允许您将构建与内置的“Diff”工具进行比较。Artifactory还通过一系列简单的设置简化了发布管理,如分级、构建提升和VCS标记,以完全自动化发布管理过程。 |
| 安全和访问控制 | |
| 每个组织都需要实现安全策略,以便用户只能访问授权使用的内部和外部资源。2022世界杯阿根廷预选赛赛程 | Artifactory在多个级别上提供安全性和访问控制。Artifactory使用“包括”和“排除”模式、团队和权限,以及与常见访问协议(如LDAP、SAML和Crowd)的集成,提供了细粒度的服务 访问控制,从限制完整的存储库到限制单个工件,从任何规模的组到单个开发人员。 |
| 漏洞检测和修复 | |
| 使用开源组件会使您暴露于开发和生产系统中的安全漏洞和许可遵从性问题。 | Artifactory的独特与紧密结合JFrog x光通过干预管道的所有阶段,使您能够防止问题和漏洞进入您的软件。Xray集成了流行的ide和CI服务器,可以在开发和CI构建期间检测漏洞。即使在您的Docker映像部署到生产环境之后,Xray也会继续扫描它们,并为已报告的新漏洞提供策略违反警报。通过深入的影响分析,Xray构建了一个组件图,并识别出组织中受漏洞或策略违反影响的所有Docker映像。 |
| 在整个组织中分发和共享图像 | |
| 为了最大限度地重用您的代码库,并确保您的开发人员在相同的环境下工作,您需要一种在团队内部和整个组织中共享映像的简单方法。 | 使用局部存储库Artifactory为您提供了一个中央位置来存储您的内部Docker映像,以便所有团队都可以从单个URL访问任何工件。为了支持远程团队,Artifactory提供了多种复制功能,使您能够同步任意数量的全局分布式站点,并灵活地适应几乎任何站点多站点拓扑. |
| 智能搜索和人工查询语言(AQL) | |
| 在不同开发人员下载的许多映像和您在自己的组织中开发的内部映像之间,找到特定的东西可能会变得相当复杂。 | Artifactory提供了多种搜索选项,从简单的名称搜索到常见的内置搜索功能,如“最新版本搜索”以及一个按校验和搜索使用Artifactory独有的checksum-based存储. 人工查询语言(AQL)将搜索带到new级别提供了一种基于任意数量的参数来制定复杂查询的简单方法。 |
| 用户插件 | |
| Artifactory提供了一组广泛的特性来管理Docker图片,要满足不同组织可能有的所有需求是不可能的。 | 用户插件扩展了Artifactory REST API,提供了一种实现复杂行为的简单方法。这给了您极大的自由来支持工作流中的任何定制需求。 |
| 高可用性 | |
| 作为组织中的关键任务组件,存储库管理器中的任何停机时间都可能对组织的生产力产生严重后果。 | Artifactory可以部署在具有两个或更多服务器的高可用性配置中,这些服务器可以将您的正常运行时间提高到5 - 9可用性级别。 |
| 维护和监控 | |
| 生成的Docker映像的数量可以快速增长。如果没有适当的管理,您的系统很快就会被旧的和不相关的映像阻塞。 | Artifactory通过自动、计划的清理过程、监视和控制磁盘空间使用,以及在最关键的Docker映像上定义“监视”的能力,使您的系统免于混乱。 |
| JFrog Enterprise+:适用于所有二进制文件的通用端到端解决方案 | |
| 为了在当今的市场上具有竞争力,公司必须在质量、一致性、安全性和全球覆盖范围方面不断改进他们的软件。为了应对这一挑战,公司必须有完善的DevOps实践。 | JFrog企业+平台提供轻松创建、管理和部署软件所需的工具。它包括Artifactory,为Docker映像和其他使用当今任何主要开发技术创建的二进制工件提供高级管理;JFrog Mission Control, JFrog Xray, JFrog Distribution和Artifactory Edge节点,涵盖工件成熟度,安全性和漏洞保护,发布管理,分析和分发。 |
JFrog Artifactory通过将镜像作为不可变组件从开发管道提升到生产环境等功能,克服了将Docker引入生产环境的障碍。高可用性和基于云的存储等特性提供了企业所需的稳定性、可扩展性和安全性。作为一个普遍的构件库Artifactory为所有主要的开发技术提供了相同的本地级别的支持,使其在任何开发生态系统中都扮演着中心角色。
内容
介绍
1.可靠,一致和有效地访问远程Docker注册表
2.减少网络流量和优化构建
3.与您的构建生态系统完全集成
4.安全和访问控制
5.漏洞检测和修复
6.在整个组织中分发和共享图像
7.智能搜索和人工查询语言(AQL)
8.用户插件
9.系统稳定可靠,具有人工高可用性
10.维护和监控
11.JFrog Enterprise+:适用于所有二进制文件的通用端到端解决方案
总结
介绍
容器技术并不新鲜。它从2000年就开始了freeBSD监狱它可以访问操作系统内核和一些其他系统资源。2022世界杯阿根廷预选赛赛程然后码头工人随着越来越多的企业采用Docker技术在数据中心、IT基础设施和开发人员笔记本电脑上运行应用程序,Docker成为了“容器之王”。但是,正如开源革命催生的基于组件的开发在管理企业内部组件方面带来的挑战一样,组织使用的Docker映像数量的不断增加也带来了类似的挑战:
- 您如何在组织内分发和共享图像?
- 如何管理谁可以访问图像?
- 如何使查找图像变得容易?
- 您如何支持各种用于管理映像的策略?
- 您如何确保您的图像始终可用?
所有这些问题的答案都是人工智能二进制存储库作为单一功能的管理器访问点通过它你可以管理你所有的码头工人的图片.由于完全支持Docker注册API, Artifactory对Docker客户端是透明的,因此可以提升您的服务组织通过消除与管理为运行而开发的应用程序和映像相关的开销,可以提高工作效率码头工人的容器.
1.可靠,一致和有效地访问远程Docker注册表
在发展你的码头工人的图片,您的许多依赖项将是托管在远程Docker注册表上的其他映像。这些资源可以是公共资源,比如Docker2022世界杯阿根廷预选赛赛程 Hub,也可以是位于远程站点的内部资源,比如JFrog Bintray上的私有Docker注册表。这些远程资源对您的开发工作2022世界杯阿根廷预选赛赛程至关重要,必须在任何时候都可用,但是您无法控制的事件可能会导致它们不可用。像Docker2022世界杯阿根廷预选赛赛程 Hub这样的公共资源可能会关闭,连接问题可能会阻止访问内部网络之外的其他远程资源。如果不能访问Docker hub和其他远程Docker注册表,开发和构建就会陷入停顿。
JFrog Artifactory是开发者和远程Docker注册中心之间的中介,完全实现了Docker注册中心API规范。这允许Artifactory代理任何公共的或私有Docker注册表如码头工人中心、JFrog Bintray或其他私有Docker注册表,并像对待其他注册表一样对待它们远程存储库.当第一次下载图像时,Artifactory将其存储在本地缓存中。在接收到对图像的后续请求后,Artifactory对其执行智能校验和搜索,如果已经下载,则提供本地缓存副本。因此,每个映像只下载一次,然后在本地可供组织中的所有其他开发人员使用。这减少了网络流量,有效地屏蔽了网络、Docker Hub或任何其他远程Docker注册表的任何问题,为您提供对远程Docker映像的一致和可靠的访问。
远程存储库作为在远程站点(如Docker Hub或JFrog Bintray)上管理的Docker注册表的缓存代理。镜像根据控制缓存和代理行为的各种配置参数在远程Docker注册表中存储和更新。
2.减少网络流量和优化构建
由于您的大部分代码可能是组装而不是构建的,因此您希望确保从外部资源下载的Docker映像的使用得到优化。2022世界杯阿根廷预选赛赛程对于使用相同映像的两个(或200个)开发人员来说,单独下载它是没有意义的。除了可靠性之外,远程Docker注册表的另一个好处是减少了网络连接。一旦下载了映像,组织中的所有其他开发人员就可以在本地使用它(从而减少了网络流量)。当然,这对单个开发人员来说都是透明的。一旦图像通过Artifactory访问,开发人员可以继续做自己最擅长的工作,剩下的交给Artifactory。
如果我们从构建服务器的角度来看网络流量,好处是显而易见的。一个典型的项目可能依赖于来自外部资源的数十甚至数百个图像。2022世界杯阿根廷预选赛赛程为了让服务器构建这些项目,所有远程Docker映像必须对服务器环境可用。下载所有这些必需的映像可能会在网络上产生千兆字节的数据流量,这会花费大量的时间来延迟构建过程。通过在本地缓存远程Docker映像,构建过程产生的网络连接要少得多,因此速度要快得多。
3.与您的构建生态系统完全集成
虽然让开发人员轻松高效地访问Docker映像很重要,但对于可能每天运行多次构建的构建系统来说,这一点更为重要。
通过一组插件,Artifactory提供了与当今流行的CI系统(如Jenkins、Bamboo和TeamCity)的紧密集成。这些系统在创建构建时使用Artifactory提供构件并解析依赖关系,还将其作为将构建输出部署到相应的本地Docker注册表的目标。
通过Artifactory运行构建的主要好处之一是完全可复制的构建。Artifactory存储详尽的构建信息,包括特定的工件版本、模块、依赖项、系统属性、环境变量、用户信息、时间戳等等。有了这些信息,就很容易在任何时候忠实地再现构建。此外,使用内置的“Diff”工具,您可以比较构建,并确切地知道从一个版本到另一个版本引入了哪些更改。当试图追踪特定版本中报告的错误时,这些功能是无价的。
Artifactory还简化了发布管理。一系列简单的设置可以配置诸如暂存、构建升级、VCS标记以及更本质的自动化发布管理过程等内容。通过Artifactory对多个安全的私有Docker注册表的支持,你可以建立一个提升管道,允许你将不可变的Docker镜像部署到生产系统中,并放心地运行它们。
通过在Artifactory中设置推广管道,自信地将Docker带入生产。
JFrog CLI是一个紧凑而智能的客户端,它提供了访问JFrog产品的接口,简化了您的自动化脚本,使它们更易于阅读和维护。hth华体会最新官方网站JFrog CLI通过它的REST API访问JFrog Artifactory,使您的脚本在几个方面更加高效和可靠:并发上传和下载使构建运行得更快,校验和优化避免了冗余的文件传输,通配符和正则表达式为您提供了一种简单的方法来指定要上传或下载的文件。
4.安全和访问控制
每一个组织需要实现安全策略,以便开发人员只能将映像存储在授权的位置,并访问他们有权使用的映像。
Artifactory提供了一个完整的安全解决方案,可以提供任意数量的安全私有Docker注册表。作为第一道防线,Artifactory允许您使用命名模式来定义访问的“排除”和“包含”,这样您就可以控制哪些包可以缓存到任何特定的远程Docker注册表中。然后,你可以分配
为用户和组设置不同的权限集,以控制对每个Docker注册表的访问。例如,通过这种方式,您可以允许开发人员将候选版本部署到本地QA Docker注册表,但只允许授权的QA人员(他们确保候选版本通过了所需的质量闸门)将其移动到“发布”注册表中,从该注册表中提取生产映像。最后,您甚至可以使用Artifactory与LDAP、Active Directory、SAML、Crowd等的集成来控制对服务器的访问。
Artifactory提供了市场上无与伦比的安全性和访问控制级别,并有效地取代了所有其他解决方案,让您可以管理组织内任意数量的安全和私有Docker注册表。
5.漏洞检测和修复
使用开源组件会暴露安全漏洞和许可证遵从性问题。甚至在开发过程中被认为是“安全”的依赖关系,后来也可能被发现包含安全漏洞,到那个时候,你的Docker镜像可能已经在生产系统中,暴露了你的产品和服务的安全漏洞。hth华体会最新官方网站
Artifactory的独特与紧密结合JFrog x光通过干预管道的所有阶段,使您能够防止问题和漏洞进入您的软件。通过与流行的ide集成,Xray可以在项目中包含可疑的依赖项时立即通知开发人员。一旦代码提交并且CI流程接管,Xray就会扫描构建,如果在任何构建工件和依赖项中检测到漏洞,则会使构建失败。甚至在Docker映像部署到生产系统之后,Xray还会继续扫描它们,并在发现新的漏洞时提醒管理员。通过深入的影响分析,Xray不仅会通知你Docker镜像中的漏洞,还会识别包含该漏洞的确切依赖项,并指出组织中包含受感染依赖项的所有其他镜像。当可用时,Xray甚至会通知您是否存在已修复漏洞的依赖项的更新版本。
JFrog Xray通过通用工件分析提供持续的安全性。它与JFrog Artifactory一起分析软件组件,并在软件应用程序生命周期的任何阶段揭示各种漏洞。通过扫描二进制组件及其元数据,递归地遍历任何级别的依赖项,JFrog Xray提供了前所未有的可见性,以揭示潜伏在组织中任何地方的易受攻击的组件。
6.在整个组织中分发和共享图像
为了最大限度地重用您的代码库,并确保您的开发人员在相同的环境下工作,您需要一种在团队内部和整个组织中共享映像的简单方法。
使用局部存储库Artifactory为您提供了一个部署和存储映像的中心位置-有效地,一个私有的Docker注册表,可以取代Docker Hub和Docker Hub Enterprise。当所有团队都知道任何图像都可以从单个URL访问时,管理不同团队之间对图像的访问变得非常容易。但是,如果您希望与组织中地理位置较远的同事共享您的图像,该怎么办呢?
为了允许不同站点之间的共享,您可以将存储库复制到本地网络之外的Artifactory的另一个实例。复制的存储库会定期自动与其源同步,这样您的映像就可以提供给世界各地的不同团队,无论他们位于何处。通过多推送复制和基于事件的pull复制功能,Artifactory允许您同步任意数量的全局分布式站点,并且具有适应各种类型的站点的灵活性多站点拓扑.
7.智能搜索和人工查询语言(AQL)
使用第三方映像可能会变得相当复杂。在不同开发人员下载的许多映像和您在自己的组织中开发的内部映像之间,找到特定的映像可能会成为一项相当大的挑战。
Artifactory通过UI和使用广泛的REST API为您提供灵活的搜索功能。你可以根据任何固有属性的组合来查找图像,比如名称、版本、时间戳、校验和和更多。人工也提供了一些共性内置的搜索。例如,您可以向Artifactory询问任何产品的“最新”版本图像无需指定特定的构建号。Artifactory知道如何比较所有不同版本的图像在它的任何地方存储库并提供最新的可用.您还可以为您的图像分配任意一组自定义属性,这些属性可以稍后用于搜索。例如,您可以用“已发布”属性标记产品发布中使用的所有特定版本的图像,以便在以后轻松地复制已发布的版本。
通过校验和搜索图像是Artifactory通过其独特的基于校验和的存储支持的强大功能。即使映像已被重命名、移动或部署到组织外部,也可以将其追溯到原始版本。只需通过校验和工具(支持SHA-256、SHA-1和MD5)运行图像,并在Artifactory中运行“校验和”搜索以检索原始版本。
AQL是一种灵活的查询语言,它提供了一种简单的方法来制定复杂的查询,以便使用任意数量的搜索条件、过滤器、排序选项和输出字段在存储库中进行搜索。它充分利用了Artifactory独特架构下的数据库,并为您提供了无限的自由度,可以精确地制定正确的查询,以找到您正在搜索的那些非常具体的包。这是其他二进制存储库无法提供的。
8.用户插件
Artifactory提供了一组广泛的特性来管理图片,要满足不同组织可能有的所有需求是不可能的。输入用户插件.
用户插件提供了一长串入口点,这些入口点有效地扩展了Artifactory REST API,提供了一种实现复杂行为的简单方法。这为您提供了极大的自由来支持工作流中的几乎任何自定义需求,包括调度任务、管理安全性和身份验证、部署、维护和清理等等。为了保持简单,用户插件被编写为Groovy脚本,并有一个简单的DSL将它们作为闭包包装在扩展点内。插件可以随时更改和重新部署,甚至可以在您最喜欢的IDE中进行调试。
9.系统稳定性和可靠性具有较高的人为性可用性
玩这样的游戏中央在社会中的作用管理图像,你的二进制存储库经理可以成为你的关键任务的组成部分组织。任何停机都可能对您的生产力造成严重后果,您需要确保开发人员可以随时访问您的Docker注册表。
Artifactory支持高可用性网络在同一台服务器上使用由2个或更多Artifactory服务器组成的集群当地的区域网络.一个冗余网络体系结构意味着不存在单点故障,只要至少有一个Artifactory节点是可操作的,您的系统就可以继续运行。这最大化你的正常运行时间,可以把它提高到“五个九”的水平。可用性.此外,您的系统可以在不影响性能的情况下适应更大的负载突发。通过水平服务器可伸缩性,您可以轻松地增加容量以满足任何负载需求组织生长。最后,通过使用具有多个服务器的体系结构,Artifactory HA允许您在没有系统停机的情况下执行大多数维护任务。
被认为对组织至关重要的系统可以部署在高可用性配置以增加稳定性和可靠性。这是通过复制系统中的节点并将它们部署为冗余集群来实现的,以消除任何单个节点上的完全可靠性。在高可用性配置中,不存在单点故障。如果任何特定节点发生故障,系统将继续通过剩余的冗余节点对其用户无缝透明地运行,不会出现停机时间或整体系统性能下降。
10.维护和监控
随着自动化软件交付系统的发展,您生成的映像数量可以快速增长。如果没有适当的管理,您的系统很快就会被旧的和不相关的映像阻塞。
Artifactory通过自动、定时的清理过程使您的系统保持有序和整洁。通过一些简单的设置,您可以安排任务来清理旧的构建和未使用的映像。您可以设置对磁盘空间的限制并对其进行监控使用,或者定义“手表”,以便在最关键的图像发生变化时接收警报。通过广泛的REST API, Artifactory几乎可以支持您希望在组织中实现的任何基于规则的清理协议。
11.JFrog Enterprise+:适用于所有二进制文件的通用端到端解决方案
JFrog Enterprise+平台的设计目的是满足公司不断增长的开发和分发软件的需求。JFrog Enterprise+为DevOps提供了轻松创建、管理和部署软件所需的工具,包括以下组件:
JFROG ARTIFACTORY是JFrog企业+的母舰。它从头开始设计,以适应任何开发生态系统。Artifactory独特地构建在基于校验和的存储上,支持任何存储库布局,因此可以为任何打包格式提供本机级别的支持。从本质上讲,无论您使用哪种打包格式,Artifactory都可以存储和管理二进制文件,并且对相应的打包客户端是透明的。客户端使用Artifactory的方式与使用本机存储库的方式完全相同。例如,如果你正在使用Docker镜像,Artifactory代理Docker Hub和其他远程Docker资源,允许你将自己的镜像存储在本地Docker注册表中,并透明地与Docker客户端一起工作。2022世界杯阿根廷预选赛赛程类似的还有npm, Vagrant, NuGet, Ruby, Debian, YUM, Python等等。
Jfrog任务控制中心是管理全球DevOps工具链中所有JFrog服务和CI服务器的单一访问点。JFrog Insight是一个DevOps分析引擎,作为企业+平台的一部分添加到JFrog任务控制中,用于测量,分析和优化您的分销流程。
JFROG x光通过在整个软件开发生命周期(从开发,到测试,再到生产)中提供对软件工件和依赖项的自动化和持续的治理和审计,增加对软件发布的信任。
JFROG分布是一个内部部署工具,允许您在两个Artifactory实例之间或从Artifactory到多个Artifactory Edge节点之间编排软件分发。
Jfrog人工边缘是Artifactory的一个专门版本,其唯一目的是将发布包的内容直接交付给消费者,因此,将在地理上尽可能靠近计算边缘的地方安装。
JFROG访问为所有JFrog产品提供通用的身份验证和授权基础设施,以管理安全实体。hth华体会最新官方网站随着JFrog Enterprise+的推出,JFrog Access可以用来将不同的JFrog服务联合到一个单一的“信任圈”中,从而实现单点登录。
JFrog Enterprise+提供了坚实的DevOps基础,这对公司的成功至关重要,并允许软件组织专注于推动业务的创新,而不必担心基础设施。
总结
自从freeBSD进入监狱,Docker在许多开发组织中变得司空见惯以来,容器技术已经走过了漫长的道路。然而,它仍在努力在生产系统中获得广泛的接受。JFrog Artifactory通过将镜像作为不可变组件从开发管道提升到生产环境等功能,克服了将Docker引入生产环境的障碍。高可用性、基于云的存储、图像扫描和分析等特性提供了企业所需的稳定性、可扩展性和安全性。作为一个通用的工件存储库,Artifactory为所有主要的开发技术(如Maven、NPM、NuGet和Debian)提供了相同的本地级别支持,使其在任何开发生态系统中都扮演着中心角色。
有关JFrog Artifactory的更多信息,请通过电子邮件与我们联系info@www.si-fil.com.
